Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Kernel: Oracle startet eigene Sammlung von Linux-Sicherheitspatches

Um Updates leichter einspielen zu können, will Oracle Zweige des Linux-Kernel pflegen, die ausschließlich Patches für Sicherheitslücken enthalten. Was gut klingt, ist aber eine kontroverse Idee, da die Auswirkungen von Kernel-Fehlern schwer zu beurteilen sind.
/ Sebastian Grüner
10 Kommentare undefined News folgen (öffnet im neuen Fenster)
Oracle will einen eigenen Zweig des Linux-Kernels anbieten, der nur Sicherheitspatches enthält. (Bild: Christopher Michel/Flickr.com)
Oracle will einen eigenen Zweig des Linux-Kernels anbieten, der nur Sicherheitspatches enthält. Bild: Christopher Michel/Flickr.com / CC-BY 2.0

Einige der Nutzer der stabilen Zweige des Linux-Kernels hätten in besonders komplexen Installationen kaum einen Anreiz, regelmäßig Updates einzuspielen, da diese erst aufwändig getestet werden müssten, schreibt der Oracle-Entwickler Sasha Levin(öffnet im neuen Fenster) . Diese Anwender seien zudem lediglich an Updates interessiert, die Sicherheitslücken schließen. Deshalb bietet Levin nun einen eigenen Zweig des Linux-Kernels an(öffnet im neuen Fenster) , der nur Sicherheitspatches enthält.

In dem beschriebenen Anwendungsfall müssten also nur einige wenige Updates überprüft werden, die sich dann schnell einspielen lassen sollten. Die Vielzahl weiterer "zufälliger" Bugfixes, die eben nicht sicherheitsrelevant seien, müssten nicht weiter beachtet werden. Der Oracle-Angestellte Levin versucht also eine Möglichkeit anzubieten, die mehr Nutzer dazu bewegt, Updates einzupflegen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Systembetreuer/-in (w/m/d) Universität Potsdam, Potsdam,Home Office (öffnet im neuen Fenster)
Systemadministrator/in für die elektronische Justizakte sowie das elektronische Textsystem (w/m/d) Zentraler IT-Betrieb Niedersächsische Justiz, Hannover (öffnet im neuen Fenster)
Information Security Officer (ISO)- Luftrettung (w|m|d) ADAC Luftrettung gGmbH, Weßling (öffnet im neuen Fenster)
Mitarbeiter (m/w/d) im Datei- und Dokumentenmanagement Schwerpunkt Postbearbeitung Medizinischer Dienst Baden-Württemberg, Lahr/Schwarzwald (öffnet im neuen Fenster)
Administrator/in für den Betrieb von KI-Anwendungen in der Justiz (w/m/d) Zentraler IT-Betrieb Niedersächsische Justiz, Hannover (öffnet im neuen Fenster)
Prozessmanager (m/w/d) Betriebsorganisation VGH Versicherungen, Hannover (öffnet im neuen Fenster)
Wissenschaftsmanager/ -in zur Administration des Heilbronn Data Science Center (m/w/d) - CIT2026-14 Technische Universität München, Heilbronn (öffnet im neuen Fenster)
IT-Supporter (m/w/d) PAJUNK® GmbH Medizintechnologie, Geisingen (öffnet im neuen Fenster)

Was sind Sicherheitslücken und was nicht?

Obwohl dies zunächst wie eine gute Idee erscheint, ist das Vorgehen unter den Kernel-Entwicklern eher umstritten. Denn zur Pflege der Update-Sammlung muss Levin als Betreuer des Projekts die Entscheidung treffen, welche Patches er aufnimmt und welche nicht. Das ist aber insbesondere für den Linux-Kernel schwer zu beurteilen. In einer Diskussion bei Lwn.net(öffnet im neuen Fenster) heißt es etwa, das mindestens die Hälfte aller Patches für die stabilen Zweige als Sicherheitslücken gewertet werden müssten.

Besonders kritisch wird das Projekt auch von Greg Kroah-Hartman gesehen, der einige der stabilen Zweige mit Langzeitunterstützung pflegt. Er erinnert(öffnet im neuen Fenster) etwa an einen Fehler im TTY-Subsystem der Kernel, der zwar behoben, dessen Tragweite allerdings erst eineinhalb Jahre später entdeckt wurde. Außerdem befürchtet er(öffnet im neuen Fenster) , dass eine derartige Sammlung einen falschen Eindruck von Sicherheit erweckt, da sich eben auch Sicherheitslücken in normalen Fehlern befinden könnten. Die Zielgruppe der Patchsammlung könnte damit Updates für Sicherheitslücken verpassen.

Zur Startseite 10 Kommentare

Relevante Themen

Updates & PatchesOpen SourceLinuxSoftwareBetriebssystemeSecuritySicherheitslückeWissen